La protection dans une société numérique mature et omniprésente

Depuis le début du XXI^e siècle, la société est pleinement devenue numérique et de nouvelles lois sont venues protéger les personnes physiques dans ce nouvel environnement. Ce sont la loi de transposition de la directive 95/46/C‐⁸³⁸ qui a réécrit la loi n^o 78-17, la loi pour la confiance dans l’économie numérique⁸³⁹ déjà évoquée pour la modification de la loi sur la presse de 1881, la loi pour une République numérique⁸⁴⁰ et la loi relative à l’égalité et la citoyenneté⁸⁴¹, également évoquée pour son durcissement sur la répression des discriminations et du racisme.

1)L’assouplissement de la loi informatique et libertés

Ces lois prennent en compte la progression du numérique et son omniprésence dans la société.

837 Mais comme le constate la Commission nationale de l’informatique et des libertés dans l’avis du 30 novembre 2017 (CNIL, Délibération n° 2017-299 du 30 novembre 2017 portant avis sur un projet de loi d’adaptation au droit de l’Union européenne de la loi n°78-17 du janvier 1978 (demande d’avis n°17023753)), elle souligne « les difficultés opérationnelles qui pourraient naître avec les pays ayant retenu des critères différents et incompatibles avec ceux retenus par le projet de loi » et autorisés par les marges de manœuvre des États membres..

838 Loi n^o 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n^o 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, publiée au JOR‑ n^o 182 du 7 août 2004 p. 14063.

839 Loi n^o 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, publiée au JOR‑ n^o 0143 du 22 juin 2004 p. 11168.

840 Loi n^o 2016-1 321 du 7 octobre 2016 pour une République numérique, publiée au JOR‑ n^o 0235 du 8 octobre 2016.

841 Loi n^o 2017-86 du 27 janvier 2017 relative à l’égalité et à la citoyenneté, publiée au JOR‑ n^o 0024 du 28 janvier 2017.

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

175

Mais il arrive que certaines protections des personnes physiques soient atténuées par les nouvelles dispositions. Ainsi le texte initial de la loi n^o 78-17 stipule dans son article 15 qu’en cas d’avis non conforme de la Commission de l’informatique et des libertés concernant un traitement automatique de données à caractère personnel prévu pour le compte de l’État, d’un établissement public ou d’une communauté territoriale, ce traitement doit être approuvé par un décret pris sur avis conforme du Conseil d’État⁸⁴². L’article 26 de la loi modifiée pour la transposition de la directive 95/46/C‐ atténue cette disposition puisque les traitements intéressant la sûreté de l’État, la défense ou la sécurité publique, ainsi que ceux qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté sont autorisés par arrêté du ou des ministres compétents en annexant l’avis de la CNIL qu’il soit favorable ou défavorable.

L’avis conforme du Conseil d’État n’est plus requis. Seuls les traitements portant sur les données raciales, ethniques, d’opinion ou syndicales nécessitent un décret en Conseil d’État⁸⁴³. Il en est de même pour les traitements de données qui contiennent le numéro d’identification national des personnes physiques ou NIR, ce numéro à l’origine de la loi informatique et libertés. ‐n novembre 1998, un amendement à la loi de finances 1999 permet à l’administration fiscale d’utiliser le NIR et d’échanger des informations avec les organismes sociaux afin de pouvoir vérifier les déclarations de revenus. Cette possibilité a été acceptée par le Conseil constitutionnel avec des réserves d’interprétation⁸⁴⁴ quant à l’utilisation et la transmission de ce NIR. La lutte contre la fraude fiscale remet ainsi en cause partiellement la loi de 1978, vingt-cinq ans après, portant ainsi atteinte aux libertés individuelles. Les échanges entre l’INS‐‐ et l’administration fiscale sont entérinés par la Commission de l’informatique et des libertés en

842 Loi n^o 78-17, Article 15 : «Hormis les cas où ils doivent être autorisés par la loi, les traitements automatisés d’informations nominatives opérés pour le compte de l’État, d’un établissement public ou d’une collectivité territoriale, ou d’une personne morale de droit privé gérant un service public, sont décidés par une loi ou par un acte réglementaire pris après avis motivé de la Commission nationale de l’informatique et des libertés.

« Si l’avis de la commission est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d’État ou, s’agissant d’une collectivité territoriale, en vertu d’une décision de son organe délibérant approuvée par décret sur avis conforme du Conseil d’État».

843 Loi n° 78-17, Article 26.

844 Conseil constitutionnel, Décision n^o 98-405 DC du 29 décembre 1998, Loi de finances pour 1999.

2007⁸⁴⁵. Pour la Cour de justice de l’Union européenne, cet échange d’informations personnelles entre administrations doit être réalisé après information des intéressés⁸⁴⁶.

Si la loi n° 78-17 est assouplie pour l’État et l’administration, de nouveaux droits apparaissent pour les individus.

2)L’affirmation de nouveaux droits individuels

La loi pour la confiance dans l’économie numérique se contente de définir techniquement la notion de courrier électronique, sans affecter le régime de la correspondance privée laissant à l’autorité judiciaire le soin de se prononcer sur la qualification de correspondance privée de ce courrier électronique⁸⁴⁷, donc de sa protection. D’outil technique, le courrier électronique est devenu un outil de communication omniprésent⁸⁴⁸. Il remplace le courrier traditionnel pour les échanges tant scientifiques ou professionnels que privés⁸⁴⁹. Le courrier privé reste protégé contre les interceptions, tandis que le courrier professionnel peut être lu par une autre personne de l’entreprise⁸⁵⁰.

La loi pour une République numérique⁸⁵¹ crée de nouveaux droits pour les personnes physiques : l’affirmation du principe de la maîtrise par l’individu de ses données personnelles ; le droit à l’oubli pour les mineurs ; la possibilité d’organiser le sort de ses données personnelles

845 CNIL, Délibération n^o 2007-216 du 10 juillet 2007 autorisant la mise en œuvre, par le ministère de l’économie, des finances et de l’industrie, d’un traitement automatisé de données à caractère personnel ayant pour objet l’identification des contribuables dénommé « PERS » (demande d’avis n^o 1168820), en ligne à https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=‑2‐‑68872778C‐3C541D‑CB26‑5‐500D.tpdila15v _1?cidTexte=JOR‑T‐XT000018008615&idArticle=&categorieLien=id, consulté le 6 mars 2017.

846Cour de justice de l’Union européenne, Arrêt de la Cour (troisième chambre) du 1er octobre 2015, Affaire C-201/14 Smaranda Bara e.a. c/ Președintele Casei Naționale de Asigurări de Sănătate e.a. : « Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement ».

847 Conseil constitutionnel, Décision n^o 2004-496 du 10 juin 2004, Loi pour la confiance dans l’économie numérique.

848 ‐mmanuel Cauvin, « Courrier électronique », Médium, 2009/1 (N°18), pp. 50-59. URL : https://www.cairn.info/revue-medium-2009-1-page-50.htm consulté le 28 décembre 2017.

849 Aleida Assmann, « De la correspondance épistolaire au courrier électronique », Esprit, 2006/5 (Mai), pp. 128-130. URL : https://www.cairn.info/revue-esprit-2006-5-page-128.htm consulté le 28 décembre 2017.

850 Voir Partie 1. Titre 1. Chapitre 2. Section 1. Sous-section 2. L’inviolabilité des correspondances et des communications

851 Loi n^o 2016-1 321 du 7 octobre 2016 pour une République numérique, publiée au JOR‑ n^o 0235 du 8 octobre 2016.

Titre 1 La société numérique, un cadre hétérogène de protection des libertés

177

après la mort et la possibilité d’exercer ses droits par voie électronique. L’introduction de ces droits dans la loi n^o 78-17 permet de les rendre effectifs avant que le règlement de protection des données personnelles qui les y incorpore ne soit applicable. La maîtrise par l’individu de ses données personnelles est introduite dès l’article 1^er de la loi n^o 78-17, article qui n’avait pas été modifié depuis la première publication de la loi. Le droit à l’oubli pour les mineurs permet à toute personne physique de demander la suppression de données problématiques présentes sur une plateforme, si celles-ci ont été collectées alors qu’elle était mineure. De son vivant, toute personne physique peut demander que les données personnelles la concernant soient détruites ou conservées après sa mort en désignant une personne de confiance chargée de ces actes, à défaut les héritiers bénéficient de certains droits : droit d’accès et droit d’opposition.

§ 2 - La protection de la vie privée au niveau européen et international

La protection de la vie privée a pour corollaire la protection des données à caractère personnel.

Si la ‑rance a été un des premiers États à légiférer sur la protection des données personnelles⁸⁵² et l’intrusion dans les systèmes de traitement automatique des données (STAD)⁸⁵³, d’autres États se sont dotés d’une telle protection, et au niveau européen, le Conseil européen a publié la Convention n^o 108⁸⁵⁴, l’Union européenne a harmonisé la législation européenne des États membres par la publication d’une directive en 1995⁸⁵⁵ et un règlement abrogeant cette directive en mai 2017⁸⁵⁶. L’article 8 de la Convention européenne des droits de l’homme⁸⁵⁷ protège la vie privée des personnes. La Charte des droits fondamentaux⁸⁵⁸ consacre également dans son

852 Loi n^o 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

853 Loi n^o 88-19 du 5 janvier 1988, relative à la fraude informatique.

854 Conseil de l’‐urope, traité n^o 108, Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, Strasbourg, 28 janvier 1981.

855 Directive 95/46/C‐ du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

856 Règlement (U‐) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

857 Conseil de l’‐urope, Convention de sauvegarde des droits de l’homme et des libertés fondamentales, Rome, 4 novembre 1950.

858 Charte des droits fondamentaux de l’Union européenne (2000/C 364/01) du 18 décembre 2000, Article 8.

« Protection des données à caractère personnel.

« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.

article 8 le droit d’une personne à la protection des données comme un droit fondamental. Avant la signature du traité de Lisbonne⁸⁵⁹ qui intègre la Charte, il n’existait pas de proclamation générale du droit à la protection de ses données personnelles⁸⁶⁰. Grâce à cet article 8, l’individu se retrouve au centre du dispositif. Ce droit est consacré dans le règlement européen⁸⁶¹ qui reconnaît le droit à l’autodétermination informationnelle, notion reconnue initialement par la Cour constitutionnelle fédérale de l’Allemagne en décembre 1983. Ce droit est reconnu par la loi pour une République numérique⁸⁶², dans son article 54 qui complète l’article 1^er de la loi n^o 78-17⁸⁶³ par l’alinéa suivant : «Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ». Ces textes récents utilisent une notion issue du droit privé : le consentement⁸⁶⁴.